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PROCEDES DE CONTRE-MESURE DANS UN COMPOSANT 
ELECTRONIQUE METTANT EN OEUVRE UN ALGORITHME DE 
CRYPTOGRAPHIE A CLE PUELIQUE DE TYPE COURSE ELLIPTIQUE 

La presente invention concerne un precede de 
contre-mesure dans un composant eiectronique 
mettant en ceuvre un algorithme de chiffrement a 
5 cle publique de type courbe elliptique. 

Dans le modele classique de la cryptographie a 
clef secrete, deux personnes desirant 

communiquer par 1 ' intermediaire d'un canal non 
10 securise doivent au prealable se mettre d' accord 
sur une cle secrete de chiffrement K. La 
fonction de chiffrement et la fonction de 
. dechif f rement ' utilisent la meme clef K. 
L' inconvenient du systeme de chiffrement a cle 
15 secrete est que ledit systeme requiert la 
communication prealable de la cle K entre les 
deux personnes. par 1 ' intermediaire d'un canal 
securise, avant qu'un quelconque message chiffre 
ne soit envoye a travers le canal non securise. 
20 Dans la pratique, il est generalement difficile, 
de trouver un canal de communication' 
parfaitement securise, surtout si la distance 
separant les deux personnes est import ante . On 
entend par canal securise un canal pour lequel 
25 il est impossible de connaltre ou de modifier 
les informations qui transitent par ledit canal. 
Un tel canal securise peut etre realise par un 
cable reliant deux terminaux, possedes par les 
deux dites personnes. 
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Le concept de c r ypt ogr aphi e a clef publique fut 
invente par Whitfield DIFFIE et Martin iiELLMAN 
en 1976. .La cr yptographie a clef publique permet 
de resoudre le probleme de la distribution des 
5 clefs a travers un canal non securise, Le 
principe de la cr yptographie a clef publique 
consiste'a utiliser una paire de clefs, une clef 
publique de chiffrement et une clef privee de 
dechif f rement . Il doit etre calculatoirement 

10 infaisable de trouver la clef priveQ de 
dechif f rement a partir de la clef publique de * 
chi f f x-ement . Une personne A desirant communiquer 
une information a une personne B utilise. la clef 
publique de chiffrement de la personne B. Seule 

15 la personne B possede la clef privee associee a 
sa clef publique. Seule la personne B est ' done 
capable de dechiffrer le message qui lui est 
adresse . 

20 Un autre avantage de la cr ypt og r aphi e a cle 
publique sur la crypt ogr aphi e a cle secrete est 
que la crypt ographie a clef publique permet' 
1' authentif ication par 1 ' utilisation - de 

signature elect ronique . 

25 

La premiere realisation de schema de chiffrement 
a clef publique fut mis au point en 1977 par 
Rivest, Shamir et Adleman, qui ont invente le 
systeme de chiffrement RSA. La securite de RSA 
30 repose sur la difficulte de factoriser un grand 
nombre qui est le produit de deux nombres 
premiers . 
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Depuis, de nombreux systemes de chiffrement a 
clef publique ont ete proposes, dont la securite 
repose sur differents problemes ca Icula t oires : 
(cette lisre n'est pas exhaustive), 

- Sac a dos de Merckle-Hellman : 
Ce systeme de chiffrement est base sur la 

difficulte du probleme de la somme de sous- 
ensemble s . 

- McEliece : 

Ce systeme de chiffrement est base sur la 
theorie des codes algebriques. II est base sur 
le probleme du decodage de codes lineaires, 

- ElGamal : 

Ce systeme de chiffrement est base sur la 
difficulte du logarithme discret dans un corps 
f ini . 

2C 

- Courbes elliptiques : 

Le systeme de chiffrement a courbe . 
elliptique constitue une modification de 
systemes cr yptographique s existant pour les 

25 appliquer au domaine des courbes elliptiques. 

L' utilisation de courbes elliptiques dans 
des systemes cryptogr aphiques fut propose 
independamment par Victor Miller et Neal Koblitz 
30 en 1985. Les applications reelles des courbes 
elliptiques ont ete envisagees au debur des 
annees 1990 . 
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L'avantage de crypnosyscemes a base de courbe 
elliptique est qu'ils fournissent une s-ecurite 
equi val ent.e aux autres cr yptosystemes mais avec 
des tallies de clef moindres. Ce gain en taille 
5 de cle implique une diminution des besoins en 
memoire et une reduction des temps de calcul, ce 
qui rend 1 ' utilisation des courbes elliptiques 
part icul ierement adaptees pour des applications 
de type carte a puce, 

10 

Une courbe elliptique sur un corps fini 
GF{q'^n) {q etant un nombre premier et n un 
entier) est I'ensemble des points (x,y) avec x 
I'abscisse et y I'ordonnee appartenant a GF(q^n) 
15 solution de I'equation : 
y'^2 = x" 3 + a *x + b 

si q est superieur ou egal a 3 
et y'^*2 + x*y=x^3 + a*x''2+b 
si q=2. 

20 II existe 2 precedes pour representer un 

point d' une courbe elliptique : 

Premierement , la representation en 

coordonnees affine; dans ce precede, un point P 
de la courbe elliptique est represente par ses 
25 coordonnees (x,y), 

Deuxiement, la representation en coordonnees 

pro j ect i ve s . 

L'avantage de la representation en coordonnees 
30 projectives est qu'elie permet d'eviter les 
divisions dans le corps fini, lesdites divisions 
etant les operations les plus couteuses en temps 
de calcul . 
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La representation en coordonnes projectives le 
plus couramment utilisee est celle consistant a 
representer un point P de la courbe elliptique 
par les coordonnees (X,y,Z), telles que x=X/Z et 
5 y = Y/Z'"3. 

Les coordonnees projectives d' un point ne sont 
pas uniques parce que le triplet (X,Y,Z) . et le 
triplet (X"2*X, X".3*Y, X*Z) representent le meme 
point quelque soit 1' element X appartenant au 
10 corps fini sur iequel est defini la courbe 
elliptique . 

Les 2 classes de courbes les plus utilisees en 
cryptographie sont les suivantes : 

1) Courbes definies sur le corps fini GF(p) 
(ensemble des entiers modulo p, P 6tant un 
nombre premier) ayant pour equation 
y^2 = x''3 + a*x+b 

2) Courbes definies sur le corps fini GF(2"n) 
ayant pour equation 

y'^2 + x*y=x''3 + a*x'^2+b 

25 Pour chacune de ces deux classes de courbes, on 
definit les operations d' addition de point et de 
doublement de point. 

L'addition de point est 1' operation qyi etant 
donne deux points P et Q calcule la somme R=P+Q, 
30 R etant un point de la courbe dont les 
coordonnees s'expriment a I'aide des coordonnees 
des points P et Q suivant des formulas dont 
I'expression est donnee dans I'ouvrage 



20 
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Elliptic curve public key cryptosystem par 
Alfred J. Menezes. 

Le doubiement de point .est I'operation qui, 
etant donne un point P, calcule le point R=2*P, 
5 R etant un point de la courbe dont les 
coordonnees s'expriment a I'aide des coordonnees 
du point P suivant des formules dont 
I'expression est donnee dans I'ouvrage 

Elliptic curve public key cryptosystem par 
10 Alfred J. Menezes. 



Les operations d' addition de point et de 
doubiement de point permettent de definir une 
15 operation de multiplication scalaire : etant 

donne un point P appartenant a une courbe " 
elliptique er un entier d, le resultat de la 
multiplication scalaire de P par d est le point 
Q tel que Q = d * P = P + P + ,..+ P d fois. 

20 

La securite des algorithmes de cryptographic sur 
courbes elliptiques. est basee sur la difficulte^ 
du problems du logarithme discret sur courbes 
elliptiques, ledit probleme consistant a partir 
25 de deux points Q et P appartenant a une courbe 
elliptique E, de trouver, s'il existe, un entier 
X tel que Q=x*P 

II exists de nombreux algorithmes 

30 cryptogr aphiques bases sur le probleme du 
logarithme discret . Ces- algorithmes sont 
faciiement t r anspos ables aux courbes 

elliptiques . 



PCT/FR 00/00603 

WO 00/59156 



Ainsi, ii est possible de mettre en ceuvre des 
algorithmes assurant 1 ' authent i f ication , la 
conf identielite, le controle d' integrate et 
I'echange de cle. 

5 

Un point commun a la plupart des algorithmes 
cryptographiques bases sur les courbes 
elliptiques est qu' ils comprennent comnie 
parametre une courbe elliptique definie sur un 

10 corps fini et un point P appartenant a cette 
courbe elliptique. La cle privee est un entier d 
choisi aleatoirement . La clef publique est un 
point de la courbe Q tel que Q=d*P. Ces 
algorithmes cryptographiques font generalement 

15 intervenir une multiplication scalaire dans le 
calcul d'un point R=d*T ou d est la clef 
secrete . 

Dans le paragraphe ci dessous, on decrit un 
20 algorithms de chif frement a base de courbe 
elliptique. Ce schema esr analogue au schema de 
chif frement. d'El Gamal. Un message m est chiffre 
de la maniere suivante : 

25 Le chiffreur choisit un entier k aleatoirement 
et calcule les point s ' k* P= ( xl , yl ) et k*Q={x2,y2) 
de la courbe, et 1' entier c= x2 + m. Le chiffre 
de m est le triplet (xl,yl,c). 

Le dechiffreur qui possede d dechiffre m en 
30 calculant : 

(X ' 2 , y' 2 ) =d (xl , y 1 ) et m=c-x'2 
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Pcur realiser les multiplications scalaires 
necessaires dans les precedes de calcul decrits 
pr ecedemment V plusieurs algorithmes existent : 



5 - Algorithme double and add " ; 

Algorithme " addit ion-soustract ion " 

- Algorithme avec chaines d' addition ; 

- Algorithme avec fenetre ; 
Algorithme avec representation signee. 

10 

Cette liste n'est pas exhaustive. L' algorithme 
le plus simple et le plus utilise est 
1' algorithme double and add L' algorithme 

double and add " prend en entree un point P 

15 appartenant a -une courbe elliptique donnee et un 
entier d. L'entier d est note d= ( d { t ) , d ( t - 1 ) , 
d(0)), ou (d (t) , d (t-1 ),.,., d (0 ) ) ^ est la 

representation binaire de d, avec d(t) le bit de 
poids fort et d(0) le bit de poids faible. 

20 L'algorithme retourne en sortie le point Q=d.P. 

L' algorithme double and add " comporte les 3 
etapes suivantes : 



1) Initialiser le point Q avec la valeur P 

2) Pour i allant de t-1 a 0 executer : 
2a) Remplacer Q par 2Q 

2b) Si d(i)=l remplacer Q par Q+P 

3) Retourner Q. 



30 



wo 00/59156 



PCT/FROO/00603 



II esr apparu que 1 ' implementation sur carte a 
puce d'un algorithme de chiffrement a cle 
publique du. type courbe. elliptique .etait 
vulnerable a des attaques consistant en une 
analyse dif f erent ielle de consommation de 
courant permettant de retrouver la cle privee de 
dechif frement . Ces attaques sont appelees 
attaques DPA, acronyme pour Differential Power 
Analysis. Le principe de ces attaques DPA repose 
sur .le fait que la consommation de courant du 
microprocesseur executant des instructions varie 
selon.la donnee manipulee. 

En particulier, lorsqu'une instruction manipule 
une donnee dont un bit particulier est constant, 
la valeur des autres bits pouvant varier, 
1' analyse de la consommation de courant liee a 
1' instruction montre que la consommation moyenne 
de 1' instruction n' est pas la meme suivant que 
le bit particulier prend la valeur 0 ou 1. 
L'atzaque de type DPA permet done d'obtenir des 
informations suppl^mentaires sur les donnees/ 
intermediaires manipulees par le microprocesseur 
de la carte lors de 1' execution d'un algorithme 
cryptographique. Ces informations 

suppiementaires peuvent dans certain cas 
permettre de reveler les parametres prives de 
1' algorithme de dechif frement , rendant le 
systeme cryptographique non sur. 
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Dans la suite de ce document on decrit un 
precede d'attaque DPA sur un algorithme de type 
courbe elliptique realisant une operation du 
type multiplication scalaire d'un point P par un 
5 entier d, I'entier d etant la cle secrete. Cette 
attaque permet de reveler directement la cle 
secrete d. Elle compromet done gravement la 
securite de 1 ' implement at ion de courbes 
elliptiques sur une carte a puce. 

10 

La premiere etape de 1' attaque est 
1 ' enregi s t r ement de la consommation de courant 
correspondent a 1' execution de 1 ' algorithme 
double and add " decrit precedemment pour . N 
15 points distincts P(l),..., P(N). Dans un 
algorithme a base de courbes elliptiques, le 
microprocesseur de la carte a puce va effectuer 
N multiplications scalaires d , P ( 1 ),.../ d . P ( N ) . 

20 Pour la clarte de la description de I'attaque, 
on commence par decrire une methode ^ permettant 
d'obtenir la valeur du bit d{t-l) de la cle./ 
secrete d, ou { d { t ) , d ( t- 1 ) , ... , d(0)) est la 
representation binaire de d, avec d(t) le bit de 

25 poids fort et d{0) le bit de poids faible. On 
donne ensuite la description d'un algorithme qui 
permet de retrouver la valeur de d. 

On groupe les points P(l) a P(N) suivant la 
3C valeur du dernier bit de I'abscisse de 4,P, ou P 
designe un des poinrs P(l) a P(N). Le premier 
groupe est constitue des points P tels que le 
dernier bit de I'absciss-e de 4.P est egal a 1. 
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Le second groupe est . const it ue des points P tels 
que le dernier bit de I'abscisse de 4.P est egal 
a 0. On calcule la moyenne des con sonunat i ons de 
courant corre spondant a chacun des deux groupes, 
5 et on calcule la courbe de difference entre ces 
deux moyennes . 

Si le bit d(t-l) de d est egal a 0, alors 
I'algorithme de multiplication scalaire 

10 precedemment decrit calcule et met en raemoire la 
valeur de 4. P. Cela signifie que lors de 
1' execution de I'algorithme dans une carte ^ 
puce, le microprocesseur de la carte va 
ef f ectivement calculer 4. P. Dans ce cas, dans .le 

15 premier groupe de message le dernier bit de la 
donnee manipulee par le microprocesseur est 
toujours a 1, et dans le deuxieme groupe de 
message le dernier bit de la donnee manipulee 
est toujours a 0. La moyenne des consommat ions 

20 de courant correspondant ^ chaque groupe est 
done differente. II apparait done dans la courbe 
de difference entre les 2 moyennes . un pic de' 
differentiel de consommation de courant. 



a 



25 Si au contraire le bit d(t-l) de d est egal 

1, I'algorithme d' exponentiation decrit 

precedemment ne calcule pas le point 4. P. Lors 
de I'execution de I'algorithme par la carte a 
puce, le microprocesseur ne manipule done jamais 

30 la donnee 4. P. II n' apparait done pas de pic de 
differentiel de consommation. 
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Cette methode permet done de determiner la 
valeur du bit d{t"l) de d. 

L' a Igor i thme decrit dans le paragraphe suivant 
5 est une generalisation de 1' algorithme 
precedant. II permet de determiner la valeur de 
la cle secrete d. 

On definit I'entree par N points notes P(l) a 
10 P(N) correspondant a N calculs realises par la 
carte a puce et la sorrie par un entier h, 

Ledit algorithme s'effectue de la maniere 
suivante en trois etapes. 

15 

1) Executer h=l ; 

2) Pour i allant de t-1 a 1, executer : 

2)1) Classer les points P{1) a P(N) suivant la 
valeur du dernier bit de I'abscisse de (4*h).P ; 
20 2)2) Calculer la moyenne de consommation de 
courant pour chacun des deux groupes ; 
2)3) Calculer la difference entre les 2/ 
moyennes ; 

2) 4) Si la difference fait apparaitre un pic de 
25 differentiel de consommation, faire h=h*2 ; 

sinon faire h=h*2+l ; 

3 ) Ret ourner h . 

L' algorithme precedent fournit un entier h tel 
30 que d=2*h ou d = 2*h+l. Pour obtenir la valeur de 
d, 11 suffit ensui-ce de tester les deux 
hypotheses possibles. 
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L'attaque de rype DPA decrite permet done de 
retrouver la cle privee d. 

Le procede de 1' invention consiste en 
1' elaboration d'une centre mesure permettant de 
se premunir centre I'attaque DPA decrite 
precedemment . Cette contre mesure utilise la 
representation des points de la courbe 
elliptique en coordonnees projectives. 

Comme il a ete explique precedemment, le 
representant d'un point en coordonnees 
projectives n'est pas unique. Si le corps fini 
sur lequel est defini la courbe elliptique 
comprend n elements, il est possible de choisir 
un representant parmi n-1 possibles. 
En choisissant un representant aleatoire d'un 
point sur lequel on effectue un calcul, les 
valeurs intermediaires du calcul deviennent 
elles-memes aleatoires et done impr evisibles de 
I'exterieur, ce qui rend I'attaque DPA 
precedemment decrite impossible. ' 

Le procede de la contre mesure consiste en une 
modification des operations d' addition de point 
et de doublement de point de courbe elliptiques 
definies sur les corps finis GF{p) pour p 
premier et GF(2-n). La modification des 
operations d' addition de point et de doublement 
de point de courbes elliptiques definies sur les 
corps finis GF(p) pour p premier et GF(2'^n) 
s' applique quelque soit I'algorithme utilise 
pour realiser ces operations. 
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Le precede de la contre mesure consiste 
egalemen- en la definition de 4 variantes dans 
i'operarion de • multiplication- scalaire. Ces* 4 
variantes s'appliquent quelque soit 1 ' algor ithme 
5 utilise pour realiser I'operation de 

multiplication scalaire, 

Dans ce paragraphe, on decrit la modification de 
1 ' algorirhme de doublement de point d' une courbe 
10 elliptique definie sur le corps fini GF(p), ou p 
est un nombre premier. La courbe elliptique est 
done definie oar Inequation suivante : 



15 



y^2 = x'^3 + a*x + b 

ou a et b sont des parametres entiers fixes au 
depart . 

Les coordonnees projectives du point 

20 Q== (X2, y2, Z2) tel que Q=2 . P avec P=(X1,Y1,Z1) 
sont calculees par le procede suivant en 6 
etapes. Dans chacune des etapes, les calculs 
sont effectues modulo p. 

25 1) Calculer M= 3 *X1 ^ 2 +a * Z 1 ^ 4 ; 

2) Calculer Z2=2*Y1*Z1; 

3) Calculer S=4*X1*Y1"2; 

4) Calculer X2=M'^2-2*S; 

5) Calculer T=8*Y1"4; 

30 6) Calculer Y2 = M* ( S-X2 ) -T . 



Le procede de la contre mesure consiste 'en une 
modification du procede precedent. 
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Le nouveau precede de aoublement de point d' une 
courbe elliptique definie sur le corps fini 
GF(p) consiste en les 8 etapes suivantes : 



5 


1) 


Tirer au 


hasard un entier X tel 


que 0<X<p; 




2) 


Cal cul er 


X'i=X'^2*Xl, Y'1=X'^3*Y1 


et Z ' 1=X*Z1 ; 




3) 


Calculer 


M=3*X' 1^2-i-a*Z' 1^4 ; 






4 ) 


Calculer 


Z2=2*Y' 1*Z ' 1 ; 






5) 


Calculer 


S=4*X' 1*Y' 1^2; 




10 


6) 


Calculer 


X2=M^2-2*S ; 






7 ) 


Calculer 


T = 8*Y' 1''4 ; 






8) 


Calculer 


Y2=M* (S-X2 ) -T. 





Plus generalement , le precede de la centre 
15 mesure s' applique quelque soit le precede (note 
par la suite A) utilise pour realiser 
1' operation de doublement de point. Le proced6 A 
est remplace par le procede A' en 3 etapes : 

20 Entree : un point P=(X1,Y1,Z1) represente en 
coordonnees projectives. 

Sortie : une point Q=(X2,Y2,Z2) represente en 
coordonnes projectives tel que Q=2 . P 

25 1) Tirer au hasard un entier X tel que 0<X<p; 

2) Calculer X'1=X-2*X1, Y'1 = X'^3*Y1 et Z'1=X*Z1, 
X'l, Y' 1 et Z'l definissant les coordonnees 

du point P' = (X' 1,Y' 1, Z' 1) ; 

3) Calculer Q=2*P' a I'aide de I'algorithme A. 



30 
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Les variables manipulees au cours de I'execution 
du precede A' etant aleatoire, I'attaque DPA 
precedemment decrite ne s' applique plus. 

5 Dans ce paragraphe, on d^crit la modification de 
I'algorithme d' addition de point d'une courbe 
elliptique definie sur le corps fini GF(p), ou p 
est un nombre premier. 

10 Les coordonnees projectives du point 

- R== (X2, Y2, Z2) tel que R = P + Q avec P={XO,Y0,Z0) et 
Q= (XI*, Yl , Zl ) sent calculees par le precede 
suivant en 12 etapes. Dans chacune des etapes, 
les calculs sont effectues modulo p. 

15 



1) 


Calculer 


UO 


=X0*21'^ 


2 ; 


2) 


Calculer 


SO 


= Y0*Z1'^ 


3 ; 


3) 


Calculer 


Ul 


=X1*Z0'^ 


2 ; 


4) 


Calculer 


SI 


=Y1*Z0'' 


3 ; 


5) 


Calculer 


W= 


U 0 - U 1 ; 




6) 


Calculer 


R= 


SO-Sl; 




7 ) 


Calculer 


T = 


UO+Ul ; 




8). 


Calculer 


M= 


S 0 + S 1 ; 




9) 


Calculer 


Z2 


=Z0*Z1* 


W; 


10) 


Calculer 


X2 


= R'"2-T* 


W'^2 ; 


11) 


Calculer 


V= 


T*W"2-2 


*X2 ; 


12) 


Calculer 


2* 


Y2=V*R- 


M*W''3 . 



Le precede de la centre mesure consiste en une 
30 modification du precede precedent. Le nouveau 
precede d' addition de point d'une courbe 
elliprique definie sur le corps fini GF(p) 
consiste en les 16 etapes suivantes : 
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1) Tirer au hasard un entier X tel que 0<>.<p; 

2) - Remplacer XO par X-2*X0, YO par . X'^3*Y0 et ZO 
par X*ZO; 

5 3) Tirer au hasard un entier ]x tel que 0<^<p; 

4) Remplacer XI par ^-2*X1, Yl par ^'^3*Y1 et Zl 
par |i*Zl; 

5) Calculer U0=X0*Z1'^2 

6) .Calculer SO = YO*Z1'^3 
10 7) Calculer U1=X1*Z0'^2 

8) Qalculer S1=Y1*Z0'^3 

9) Calculer W=U0-U1 

10) Calculer R=S0-S1 

11) Calculer T=U0+U1 
15 12) Calculer M=S0+S1 

13) Calculer Z2=Z0*Z1*W; 

14) Calculer X2=R'^2-T* 2 ; 

15) Calculer V=T * 2 -2 *X2 ; 

16) Calculer 2* Y2=V*R-M* W'^3 



20 



25 



Plus generalement , le precede de la centre 
mesure s' applique quelque soit le precede {note 
par la suite A) utilise pour realiser 
I'operation d' addition de point. Le precede A 
est remplace. par le precede A' en 5 etapes : 



Entree : deux points P=(XO,YO,ZO) et 

Q=(X1,Y1,Z1) representes en coordonnfees 

pro j ect ives . 

30 Sortie : le poinr R=(X2,Y2,Z2) represente en 
coordonnes projecnives tel que R=P+Q 
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1) Tirer au hasard un entier X tel que 0<X<p; 

2) Remplacer XO par X^2*X0 , YO par X^3^Y'Q et ZO 
par X*ZO; 

3) Tirer au hasard un entier ja tel que 0<\x<p; 

5 4) Remplacer XI par ki'^2*X1, Y1 par ^".3*Y1 et Zl 

par \x*Zlf 

5) Calcul de R=P+Q a I'aide de I'algorithme A. 

Les variables manipulees au cours de I'execution 
10 du precede A' etant aleatoire, I'attaque DPA 
precedemment decrite ne s' applique plus. 
Dans ce paragraphe, on decrit la modification de 
I'algorithme de doublement de point d'une courbe 
elliptique definie sur le corps fini GF(2'^n). La 
15 courbe elliptique est done definie par 
1' equation suivante : 

y^2+x*y=x^3+a*x^2+b 

20 oCj a et b sont des parametres appa-rtenant au 
corps fini GF(2'"n) fixes au depart. On definit c 
par Inequation: 

c=b^ (2^ (n-2) ) . 

25 Les coordonnees proje.ctives du point 

Q=(X2,Y2,Z2) tel que Q=2 , P avec P=(X1,Y1,Z1) 
sont calculees par le precede suivant en 4 
etapes. Dans chacune des etapes, les ^calculs 
sont effectues dans le corps fini GF(2^n). 

30 
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20 



25 



i; Calculer Z2 = X1*Z1'^2; 

2) Calculer X2= (Xl + c*Zl'^2) ^^4; 

3) Calculer U = Z2+X1'^2 + Y1* 21 ; 

4) Calculer Y2=X1 M *Z2+U*X2 . 

Le precede de la centre mesure consiste en une 
modification du proc§de precedent. Le nouveau 
procede de do.ublement de point d'une courbe 
eiliptique definie sur le corps fini GF(2'^n) 
consiste en les 6 etapes sui.vantes : 



1) 



Tirer au hasard un element non nul X de 



GF ( 2'^n) ; 

2) Calculer X'l=X-2*Xi, Y'1 = X-3*Y1, Z'1 = X.*Z1; 
15 3) Calculer Z2=X ' 1 * Z ' 1 " 2 ; 

4) Calculer X2= (X' l+c*Z' l'^2) -4; 

5) Calculer 0 = Z 2+X ' 1 ^ 2 + Y ' 1 * Z ' 1 ; 

6) Calculer Y2=X' 1^4 *Z2+U*X2 . 



Plus generalement, le procede de_ la contre 
mesure s'applique quelque soit le proced§ (note 
par la suite A) utilise pour realiser 
1' operation de doublement de point. Le procede A 
est remplace par le procede A' en 3 etapes : 

Entree : un point P={X1,Y1,Z1) represents en 
coordonnees projectives. 

Sortie : une point Q=(X2,Y2,Z2) represents en 
coordonnes projectives tel que Q=2 . P 



30 
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1) Tirer au hasard un element ?^ non nui de 
GF{2"n) ; 

2) ■ Calculer X'1=X^2*X1, Y'l = X'^3*yi, Z'1 = X*Z1, 
X'l, Y' 1 et Z' 1 definissent les coordonnees 

du point P' = (X' 1, Y' 1, Z' 1) ; 

3) Calc.ul de Q=2.P' a I'aide de 1 ' algor ithme A. 
Les variables manipulees au cours de 1' execution 
du precede A' etant aleatoire, I'attaque DPA 
precedemment decrite ne s' applique plus. 

Dans ce paragraphe, on decrit la modification de 
I'algorithme d'addition de point d'une courbe 
elliptique definie sur le corps fini GF{2^n). 

15 Les coordonnees projectives du point 

R={X2,Y2/Z2) tel que R=P+Q avec P=(XO,YO,ZO) et 
Q=(X1,Y1,Z1) sont calculees par le procede 
suivant en 12 etapes . Dans chacune des etapes, 
les calculs sont effectues dans le corps fini 



GF{2 


"n) . 






1) 


Calculer 


UO 


=X0 *Z l'^2 ; 


2) 


Calculer 


SO 


= Y0*Z1'^3 ; 


3) 


Calculer 


Ul 


=X1*Z0'"2 ; 


4) 


Calculer 


SI 


= Y1*Z0'^3 ; 


5) 


Calculer 


w= 


UO+01 ; 


6) 


Calculer 


R= 


S 0 + S 1 ; 


7) 


Calculer 


L= 


ZO*W; 


8) 


Calculer 


V = 


R*X1+L* Yl ; 


9) 


Calculer 


Z2 


=L*Z1 ; 


10) 


Calculer 


T = 


R+ Z2 ; 


11) 


Calculer 


X2 


= a ' Z 2 2 + T * R+ 3 ; 


12) 


Calculer 


Y2 


= T*X2+V*L''2 . 



5 



10 
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Le precede de la contra mesure consists en une 
modification du procede precedent. Le nouveau 
procede d' addition de point -d'une courbe 
elliptique definie sur le corps fini GF(2'"n) 
consists en les 14 etapes suivantes : 

1) Tirer au hasard un element X non nul de 
G F { 2 n ) ; 

2) Remplacer XO par X'^2*X0, YO par X^3*Y0 et ZO 
par X*ZO; 

3) Tirer au hasard iin element non nul de 
GF (2'^n) ; 

4) Remplacer XI par ii'^2*Xl, Yl par ^"3*Y1 et Zl 





par 


H*Z1; 








5) 


Calculer 


U0=X0*Z1'^2; 




15 


6) 


Calculer 


S0 = Y0*Z1''3; 






7 ) 


Calculer 


U1=X1*Z0"2 ; 






8 ) 


Calculer 


S1=Y1*Z0'^3; 






9) 


Calculer 


W=U0+U1 ; 






10) 


Calculer 


R=S0+S1 ; 




20 


11) 


Calculer 


L=Z0*W; 






12) 


Calculer 


V = R*X1 + L*Y1 ; 






13) 


Calculer 


Z2=L*Z1 ; 






14 ) 


Calculer 


T=R+Z2 ; 






15) 


Calculer 


X2 = a*Z2'^2+T* 


R+W'^3 ; 


25 


16) 


Calculer 


Y2=T*X2+V*L'^ 


2; 




Plus generalement , le 


procede 



de la centre 
mesure s' applique quelque soit le procede (note 
par la suite A) utilise pour "realiser 
1' operation d' addition de point. Le . procede A 
30 est remplace par le procede A' en 5 etapes : 
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Entree : deux points P=(XO,Y0,Z0) et 

Q=(X1,Y1,Z1) representes en coordonnees 

pro j ect i ves . 

Sortie : le point R={X2,Y2,Z2) represente en 
5 coordonnes projectives tel que R=P+Q 

1) Tirer au hasard un element X non nul de 
GF (2^n) ; 

2) Remplacer XO par X'^2*X0, YO par X"3*Y0 et ZO 
10 par A.*ZO; 

3) Tirer au hasard un element j-i non nul de 
GF(2^n) ; 

4) Remplacer XI par ^"2*X1, Yl par ^^3*Y1 et Zl- 
parji*Zl; 

15 5) Calcul de R=P-fQ a I'aide de I'algorithme A, 

Les variables manipulees au cours de I'execution 
du precede A' etant aleatoire, I'attaque DPA 
precedemment decrite ne s'applique plus. 

20 

Le precede de la contre mesure consiste"" 
egalement en la definition de 4 variantes dans 
1' operation de multiplication scalaire. 

L' operation de multiplication scalaire fait 

25 appel a 1' operation de doublement de point note 
Do et a 1' operation d' addition de point note Ad. 
L' operation de doublement de point modif ie 
decrite precedemment est notee Do' et 
1' operation d' addition de point modif iee decrite 

30 precedemment est notee A.d' . 
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Dans ce paragraphe on decrit la premiere 
variante de modificarion de 1' operation de 
multiplication scalaire. La premiere variante 
consiste a rendre alearoire la representation 
5 d' un point au debut du procede de calcul . Dans 
le cas de 1 ' utilisation de I'algorithme double" 
and add , le procede modifie de multiplication 
scalaire est le suivant en 5 etapes . Le procede 
prend en entree un point P et un entier d. 

10 L' entier d est note d= ( d ( t ) , d ( t - 1 ) , ... , d(0)), ou 
(d(t),d(t-l),...,d{0)) est la representation 
binaire de d, avec d(t) ie bit de poids fort et 
d{0) le bit de poids faible. L' algorithme 
retourne en sortie le point Q=d.P. 

15 Cette premiere variante s'execute. en cinq 
etapes: 

1) Initialiser le point Q avec la valeur P; 

2) Remplacer Q par 2.Q en'utilisant le procede 
Do' ; 

20 3) Si d(t-l)=l remplacsr Q par Q+P en utllisant 
le procede Ad; 

4) Pour i allant de t-2 a 0 executer : 
4a) Remplacer Q par 2Q; 

4b) Si d(i)=l remplacer Q par Q+P; 

25 5) Retourner Q. 

Plus generaleraent , le procede de la premiere 
variante decrit precedemment s' applique a 
I'operaricn de multiplication scalaire quelque 
30 soit le procede (note par la suite A) utilise 
pour realiser le calcul de la multiplication 
scalaire. Le procede A fait appel aux operations 
Do er Ad definies precedemment. 
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La premiere variante de la contre ir.esure 
consiste a remplacer la premiere operation Do 
par Do' definie precedemmenr . 

5 La premiere variante permet done d' assurer que 
les variables int ermediaires manipulees lors de 
I'operation de multiplication scalaire sont 
aleatoires. Cela rend I'attaque DPA precedemment 
decrite inapplicable. 

10 

Dans ce paragraphe on decrit la deuxieme 
variante de modification de 1' operation de 
multiplication scalaire .. 

La deuxieme variante consiste a rendre aleatcire 
15 la representation d'un point au debut du proced§ 
de calcul et a la fin du precede de calcul. Dans 
le cas de .1 ' utilisation de 1 ' algor i thme double 
and add le precede modifie de multiplication 

scalaire est le suivant en 7 etapes. Le procede 
20 prend en entree un point P et un entier d 
L'enrier d est note d= ( d ( t ) ^ d ( t - 1 ) , ... , d(0)), ou 
(d (t) , d (t-1 ),..., d ( 0) ) esr la representation 
binaire de d, avec d(t) le bit de poids fort et 
d(0) le bit de poids faible. L'algorithme 
25 retourne en sortie le point Q=d . P • 

Cette seconde variante s • execute en sept etapes: 

1) Initialiser le point Q avec la valeur P; 

2) Remplacer Q par 2.Q en utilisant le procede 
30 Do' ; 

3) Si d(t-l)=l remplacer Q par Q+P en utilisant 
le procede Ad; 
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4) Pour i allant de t-2 a 1 executer : 
4a) Remplacer Q par 2Q; 

4b) Si d(i)=l- remplacer Q par Q+P; 

5) Remplacer Q par 2.Q en utilisant le precede 



Do' 
6) 



Si d(0)=l remplacer Q par Q+P en utilisant 
le precede Ad ; 
7) Retourner Q. 

10 Plvis generalement, le precede de la deuxieme 
variante decrit precedemment s' applique a 
1' operation de multiplication scalaire quelque. 
soit le precede (note par la suite A) utilise 
pour realiser le calcul de la multiplication 

15 scalaire. Le precede A fait appel aux operations 
Do et Ad definies precedemment. La deuxieme 
variante de la contre mesure consiste a 
remplacer la premiere operation Do par Do' 
definie precedemment et la derniere operation Do 

20 par Do' . - 

La deuxieme variante permet done d' assurer qu'e. 
les variables int ermediaires manipulees lors de 
1' operation de multiplication scalaire sent 
25 aleatoires. L' avantage de la deuxieme variante 
est une securite accrue contre des attaques DPA 
en fin d' algorithme de multiplication scalaire. 
En parriculier, la deuxieme variante rend- 
1' attaque . DPA precedemment decrite inapplicable. 



Dans ce paragraphe, on decrit la troisieme 
variante de modification de 1' operation de 
multiplication scalaire. 
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La troisieme variance consiste a rendre 
aleatoire la representation de chacun des points 
manipules au cours dix procede de multiplication 
scalaire. Dans le cas de 1 ' utilisation de 
5 1 ' a Igor i t hme double and add " , le procede 

modifie de multiplication scalaire est le 
suivant en 4 etapes- Le procede prend en entree 
un point P et un entier d. L' entier d est note 
d=(d.(t) ,d{t-l) d(0) } , ou (d(t) ,d(t-l) ,...,d(0) ) 

10 est- la representation binaire de d, avec d(t) le 
bit de poids fort et d(0) le bit de poids 
faibl^. L' algori thme retourne en sortie le point 
Q=d. P . 

15 Cette troisieme variante s * execute en trois 
et ape s : 

1) Initialiser le point Q avec le point P; 

2) Pour i allant de t-2 a 0 executer : 
-20 2a) Remplacer Q par 2Q en utilisant 

procedeDo'; 

2b) Si d(i)=l remplacer Q par Q+P 

utilisant le procede Ad' ; 

3) Retourner Q. 

25 

Plus generalement le procede de la troisieme 
variante. decrit . precedemment s' applique a 
I'operation de multiplication scalaire^ quelque 
soit le procede (note par la suite A) utilise 
30 pour realiser le calcul de la multiplication 
scalaire. Le procede A fait appel aux operations 
Do et Ad definies precedemment. 
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La troisieine variante de la centre mesure 
consists a remplacer toutes les operations Do 
par Do' • et Ad par Ad' . 

5 La troisierae variante permet done d' assurer que 
les variables int ermediaires manipulees lors de 
1' operation de multiplication scalaire sont 
aleatoires. L'avantage de la troisieme variante 
par rapport a la deuxieme variante est une 
10 s^curite accrue centre les attaques DPA sur les 
operations int ermediaires du precede de 
multiplication scalaire. En particulier, la 
troisieme variante rend I'attaque DPA. 

precedemment decrite inapplicable. 

15 

Dans ce paragraphe on decrit la quatrieme 
variante de modification de 1' operation de 
multiplication scalaire. La quatrieme variante 
consiste a rendre aleatoire la representation de 
20 chacun des points manipules au cours du " precede 
de multiplication scalaire. La quatrieme.- 
variante est une modification de la troisieme' 
variante par 1 ' utilisation d' un compteur, ledit 
compteur permettant de determiner les etapes de 
25 1' algorithms de multiplication scalaire pour 
lesquelles la representation d'un point est 
rendue aleatoire. . On definit pour cela un^ 
parametre de securite T. Dans la pratique on 
peut prendre T = 5. Dans le cas de 1' utilisation 
30 de I'algorithme " double and add ", le precede 
modifie de multiplication scalaire est le 
suivant en 4 etapes. Le precede prend en entree 
un point P et un entier d. 
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L'entier d est: nore d= ( d ( t ) , d ( t - 1 ) , ... , d(0)), ou 
(d (t ), d (t-1 ),..., d ( 0) ) est la representation 
binaire -de d, avec d{t) le bit de poids fort et 
d(0) le bit. de poids faible. L' algorithme 
5 retourne en sortie le point Q=d.P. 

La quatrieme variante s'execute en trois etapes: 

1) Initialiser le point Q avec le point P 
10 2) .Initialiser le compteur co a la valeur T. 

3) Pour i allant de t-1 a 0 executer : 

3a) Remplacer Q par 2Q en utilisant le 

procede Do si co est different de 0, sinon 

utiliser le procede Do' . 

15 3b) Si- d(i)=l remplacer Q par Q+P en 

utilisant le procede Ad, 

3c) Si co=0 alors reinit ialiser le compteur co 
a la valeur T. 

3d) Decrementer le compteur co. 
20 3) Retourner Q. 

Plus generalement , le procede de la troisieme 
variante decrit precedemment s' applique a 
I'operation de multiplication scalaire quelque 
25 soit le procede (note par la suite A) utilise 
pour realiser le calcul de la multiplication 
scalaire. Le procede A fait appel aux operations. 
Do et Ad definies precedemment. 

La variante de la troisieme centre mesure 
30 consiste a initialiser un compteur co a la^ 
valeur T. L' operation Do est remplacee par 
I'operation Do' si la valeur du compteur esz 
ega 1 e a 0 . 
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Acres chaque execution des operations Do ou Do', 
le compteur est reinitialise a la valeur T s'il 
a atteint la valeur- 0 ; il est ensuite 
deer emente . 

5 

La quatrieme variante permet done d' assurer que 
les variables intermediaires manipulees lors de 
1' operation de multiplication scalaire sont 
aleatoires. L'avancage de la quatrieme variante 
10 par rapport S la troisieme variante est une plus 
grande rapidite d' execution. La quatrieme 
variante rend I'attaque DPA precedemment decrite 
inapplicable . 

15 L' application de I'une des 4 variantes 
precedemment decrite permet done de proteger 
tout algorithme cryptographique base sur les 
courbes elliptiques contre I'attaque de type DPA 
precedemment decrite. 
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REVEND I CAT I ON S 

1- Procede de contre-mesure dans un composant 
electroni'que mettant en ' oeuvre un algorithme de 
cryptographie a cle publique de type courbe 
elliptique en utilisant la representation des 
5 points de ladite courbe elliptique en 
coordonnees projectives consistant a representer 
un point P de la courbe elliptique par les 
coordonnees (X, Y, Z) telles que x==X/Z et 
y = Y/Z^3, X et y etant les coordonnees du point 

10 de la courbe elliptique en coordonnees affines, 
ladite courbe comprenant n elements et etant 
definie sur un corps fini GF(p), p etant un 
nombre premier, ladite courbe ayant pour 
equation y^2=x^3+a*x+b , ou definie sur un corps 

15 fini GF(2^n), ladite courbe ayant pour equation 
y''2+x*y = x^3 + a*x''2 + b, ou a et b sont des 
parametres entiers fixes au depart, 

ledit procede etant caracterise en ce qu'il* 
choisir un representant aleatoiife pa.rmi n 

20 elemenrs possibles en coordonnees projectives 
de la courbe elliptique et consiste en une 
modification des operations d ' addition de . point s 
et le doublement desdits points et une 
modification de I'operation de multiplication 

25 scalaire. 



30 



wo 00/59156 



31 



PCT/FROO/00603 



2_ Precede de contre-mesure selon la 

revendication Icaract^ris^ en ce que le precede 
de la centre mesure s' applique quelque soit le 
precede ou algorithme, note par la suite A, 
5 utilise pour r6alis"er 1 ' operation " de doublement 
de point, le' precede A etant- remplace par • le 
precede A' en 3 etapes, en utilisant une 
entree d^finie par un point P=(X1,Y1,Z1) 

represen^e en ceordennees prejectives et une 
10 sortie, 'definie par un pein.t Q=(X2,Y2,Z2) 

represente en coordonnes prejectives tel que 

Q=2.F, de la courbe elliptique, lesdites etapes 

etant : 

15 1) Tirer au hasard un entier X tel que 0<X<p; 

2) Calculer X'1=X-2*X1, Y'l=X-3*Yl et Z'1=X*Z1/ 
X'l, Y'l et Z'l definissant les coordonnee^ 

■ du point P' = (X' 1, Y' 1, Z' 1) ; 

3) calculer Q=2*P' a I'aide de I'algorithme A. 
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3- Precede de contre-mesure selen la 

revendication 1 caracterise en ce que 
I'algorithme de doublement de points, ou 
operations .de doublement de points d'une courbe 
elliptique defini sur ledit corps fini GF(p) 
s'effectue en huit etapes: 





1) 


Tirer au 


hasard un entier X 


tel 




2) 


Calculer 


X'1=X'^2*X1, Y'1=X^3 


*Y1 


30 


3) 


Calculer 


M=3*X'l'"2^a*Z'l''4; 






4) 


'Calculer 


Z2=2*Y' 1*Z' 1; 






5) 


Calculer 


S = 4*X' 1*Y'' 1''2 ; 






6) 


Calculer 


X2=M^2-2*5 ; 






1) 


Calculer 


T=8*Y' 1^4 ; 




35 


8) 


Calculer 


Y2=M* (S-X2) -T. 
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4- Precede de contre-mesur e selon la 

r evendi cat i on 1 caracterise en ce que plus 
gener alement le precede dela conr re-mesure- 
5 s 'applique quelque soit le precede note, par la 
suite utilise pour realiser 1 '.operation 

d'addition de points sur une courbe elliptique 
defini sur ledit corps fini GF{p) s'e.ffectue en 
cinq etapes : 

10 1) Tirex au hasard un element X non nul . de 
GF {2^n) ; 

2) - Remplacer XO par X^2*X0, YO par X'^3*Y0 et ZO 
par -X*ZO; 

3) Tirer au hasard un element ii non nul de 
15 GF ; 

4) Remplacer XI par ^"2*X1, Yl par n'^B^Yl et Zl 
par \x*Zl} 

5) Calcul de R=P + Q a I'aide de I'algorithme A. 

20 5- Precede de cent r e-mesure selon la 
revendication 1 . caracterise en ce que la 
modification de I'algorithme d'addition de point 
d'une courbe elliptique definie sur le corps 
fini GF(p),. ou p est un nombre premier, est la 

25 suivante: Les coerdonnees project ive's- du point 
R=(X2,Y2,Z2} tel que. R=P + Q avec P= (XO , Y 0 , ZD ).. et 
Q=(X1,Y1,Z1) sent calculees par le procede 
suivant en 16 etapes, dans chacune des etapes, 
les calculs etant effectues modulo p: 

30 

1) Tirer au hasard un entier X appartenant 
audit corp fini GF(p) tel que 0<X.<p; 

2) Remplacer XO par X-2*XO,Y0 par X^3*Y0 et ZO 
par X ZO; 
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3) . Tirer au hasard un entier \i apppartenant a 
tel que 0<H<P' 

4) Remplacer XI par ^-2*X1, Yl par n-3*Yl et Zl 

par n*Zl; 

5 5) Calculer U0 = X0*Zl'^2 

6) calculer S0=Y0*Z1'^3 

7) Calculer U1=X1*Z0'^2 

8) Calculer Sl=Yl*Z0-3 

9) calculer W=UO-01; 
10 10) Calculer R=S0-S1; 

11) ' Calculer T=U0+U1; 

12) Calculer M=SO+Sl; 

13) Calculer Z2=Z0*Z1*W; 
14 ) Calculer X2=R'^2-T*W'^2 ; 

15 15) Calculer V=T*W-2-2 *X2 ; 

16) Calculer 2* Y2=V* R-.M*W-3 . 

6- Precede de contre-mesur e selon la 

revendication 1 caracterise en ce que plus 

generalement, la modification de I'algorithme 

20 d' addition de point d'une courbe elliptique 

definie sur le corps fini GF(2-n),.ou n est un 

noxnbre premier, est la suivante: les coordonnees 

projectives du point P=(X1,Y1,Z1) tel que R=PtQ 

et Q=(X2,Y2,Z2) sont calcul^es par le precede 

^ ^-r. p-tanes dans chacune des etapes^ 

25 suivant en J etapes, uano 

les calculs etant effectues modulo p: 

1) Tirer au hasard un element X non nul de 
GF(2^n) ; 

2) calculer XM=X'^2*X1, Y'1=X-3*Y1, Z'-1 = X.*Z1, 

30 X'l, Y'l et Z'l definissent les coordonnees du 
point ?'=(X' 1, Y'l, Z'l) ; 

3) Calcul de Q=2.P' a I'aide de I'algorithme A. 
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7- Precede de cent re— mesur e selon la 
revendicat ion 1 caract^rise en ce qiie le precede 
de la centre .mesure consiste en une modification 
du. precede, precedent, le. nouv^au precede de 
5 deublement de point d'une courbe elliptique 
etant definie sur le corps . fini GF(2''n), et 
consiste en les 6 etapes suivantes : 

1) Tirer au hasard un element non nul X de 
10 GF(2^-n) ; 

2) Calculer X^1=X'^2*X1, y'l=X-3*Yl, Z'1=X*Z1; 

3) Calculer Z 2=X ' 1 * Z < 1 ^ 2 ; 

4) Calculer X2- (X' l + c*Z ' l'^2 ) ^ 4 ; 

5) Calculer U = Z2+X' 1'^2 + Y' 1*Z 1 ; 
15 6) Calculer Y2-X' 1 4 * Z2 + 0*X2 . 

8 - Precede de centr e-mesure selon la 

revend ication 1 caracterise en ce que 

Plus generalement , la modification de 

20 1' algorithme d' addition de point d'une courbe 
elliptique definie sur .le corps fini GF{2'^n), ou 
n est un nombre premier, est: la suivante: les 
coordonnees projectives du point P= { XO , YO Z 0 ) et 
Q=(X1/y1,Z2) en entree et R=(X2,Y2,Z2) sent 

25 calculees par le precede suivant en 5 etapes, 
dans chacune des etapes, les .calculs etant 
effectues modulo: 

1) Tirer au hasard ur. element X non .nul de 
30 GF(2"n) ; 

2) Remplacer XO par X-2-X0, YO par X^S-^YO et ZO 
par X*ZO; 

3) Tirer au hasard un element p. non nul de 
GF(2"n) ; 
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4) Reraplacer XI par ii^2*Xl, Yl par p.-3*Yl et Zl 
par [i*Zl; 

5) Caicul de R=P-i-Q a I'aide de 1 ' algori thme A. 

5 9- Procede de con t r e-mes ur e selon la 

•revendication 1- caracterise en* ce que le procede 
de la contre mesure consiste en une modification 
du procede d' addition de points d'une courbe 
elliptique definie sur le corps fini GF(2^n)et 
10 consiste en les 16 etapes suivantes : 

1) Tirer au hasard un element X non nul de 
GF (2'^n) ; 

2) Remplacer XO par X^2*X0 , YO par X^3*Y0 et ZO 
15 par X*ZO; 

3) Tirer au hasard un element ^ non nul de 
GF {2'^n) ; 

4) Remplacer XI par ^-2*X1, Yl par |a-3*Yl et Zl 





par 


p*Zl; 




20 


5) 


Calculer 


UO=XO*Z1''2 ; 




6) 


Calculer 


SO=YO*Z1'^3; 




7) 


Calculer 


U1=X1*Z0''2; 




8) 


Calculer 


S1=Y1*Z0''3; 




9) 


Calculer 


W=U0+U1; 


•25 


10) 


Calculer 


R=S0+S1 ; 




11) 


Calculer 


L=ZO*W; 




12) 


Calculer 


V=R*X1 + L*Y1 ; 




13) 


Calculer 


Z2=L*Z1; 




14) 


Calculer 


T=R+Z2 ; 


30 


15) 


Calculer 


X2 = a*Z2''2 + T*R+W'^3 ; 




16) 


Calculer 


Y2=T*X2+V*L'"2 ; 



wo 00/59156 



36 



PCT/FROO/00603 



10 - Procede de cont re-mesure selon la 
r e vendi cat ion 1 caracterise en ce que 
la premiere ■ variance de modification de 
I'operation de .multiplication .scalair.e consiste 
5 a rendre aleatoire la representation d' un point 
au -debut du procede -de calcul pax 1 ' utilisation* 
de I'algorithme " double and add" le procede 

modifie , de multiplication scalaire est le 
suivant en 5 etapes, en prenant en entree un 

10 point P et un entier d,l'entier d etant note 
d=(d(t) ,d(t-l) d(0) ) , ou (d(t) ,d(trl) , .",d(0) ) 

est la represent at ion- binaire de d, avec d(t) le 
bit de poids fort et d{0) le bit -de poids 
faible, I'algorithme retournant en sortie le 

15 point- Q=d.P, le procede • Do etant le procede de 
doublement de points, le procede Do' etant le 
procede de doublement des points modifies 
suivant 1 ' une quelconque des r evendication s 
precedentes, cette premiere variante s'executant 

20 en cinq etapes : 

D' Initialiser le point Q avec la valeur P; 

2) Remplacer Q par 2.Q en utilisant le procede 
Do' ;' 

3) Si d{t-l)=l remplacer Q par Q + P en. utilisant* 
25 le procede Ad, le procede Ad etant le procede' 

d'addition de points; 

4) Pour i allant de't-2 a 0 executer : 
4a) Remplacer Q par 2Q; 

4b) Si d(i)=l remplacer Q par Q + P; 

30 5) Retourner Q- 
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11-- Frocede de cont r e-me s ure selon la 
revendication 1 caracterise en ce que la 
deuxieme .variante de I'operati.on de 

multiplication scalaire consiste a rendre 
5 aleatoire la representation d' un point au debut 
du procede de calcul et a la fin du procede de 
calcul, ceci dans le cas de 1' utilisation de 
1 ' algorithme double and add 

le procede modifie de multiplication scalaire 
10 etant le suivant en 7 etapes, ' prenant en entree 
un point P et un entier d, I'entier d etant note* 
ci=(d(t) ,d(t-l) d(0) ) , ou (d{t) ,d{t-l) ,»,,d(0) )* 

est la representation binaire de d, avec d(t) le 
bit de poids fort et d(0) le bit de poids 
15 faible, 1 ' algorithme retournant en sortie le 
point Q=d-. P, ladite seconde variante s' executant 
en' sept et apes : 

1) Initialiser le point Q avec la valeur P; 

2) Remplacer Q par 2.Q en utilisant le procede 
20 Do' / 

3) Si d{t-l)=l remplacer Q par Q + P en utilisant 
le procede Ad;. 

4) Pour i allant de t-2 a 1 executer : 
4a) Remplacer Q par 2Q; 

25 4b) Si d(i)=l remplacer Q par Q+P; 

5) Remplacer Q par 2.Q en utilisant le procede 
Do' ; 

6) Si d(0)=l remplacer Q par Q+P en utilisant 
le procede Ad; 

30 7) Retourner Q. 

12- Procede de conr re-mesure selon la 
revendication 1 caracterise en ce que la 
troisieme variante de 1' operation de 

35 multiplication scalaire s' execute en trois 
et ape s : 
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1) Initialiser le point Q avec le point P; 

2) Four i allant de t~2 a 0 executer : 

2a) Remplacer Q par 2Q en utilisant le 

5 precede Do' ; 

2b) Si d(i)=l remplacer Q par Q+P en 

utilisant le procede Ad' , Ad'^ ^tant le procede 
d' addition des points modifies suivant les 
re'vendications preceden tes ; 
10 3) Retourner Q. 

13- Procede de cont r e-mesure selon la 
revendicat ion 1 caracterise en- ce que la 
quatrieme variante de 1 * operation de 

15 multiplication scalaire s*execute en trois 
etapes : 

1) Initialiser le point Q avec le point P 

2) Initialiser le compteur co a la valeur T. 

3) Pour i aliant de t-1 a 0 executer : 

20 3a) Remplacer Q par 2Q en utilisant le 

procede Do si co est different * de 0, sinon 
utiliser le procede Do' . 

3b) Si .d(i)=l remplacer Q par Q+P en 

utilisant le procede Ad. 

25 3c) Si co = 0 alors rei nitialiser le compteur co 
a la valeur T. 

3d) Decrementer le compteur co, 
3) Retourner Q. 

14- Composant electronique utilisant le procede 
30 selon I'une quelconque des revedi cations 

precedentes caracterise en ce qu'il pent etre 
une carte a puce. 
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